IRC-Worm.MSWord.Anumps

Teknik detaylar

Bu solucan IRC kanalları ile yayılır ve MS Word belgelerine bulaşır. Virüsün kendisi, Mumps adlı bir makroyu içeren bir Word belgesidir.

Kurulum

Açıldığında, dosya:

• Makro menüsünde Güvenlik menüsünü devre dışı bırakmaya çalışın
• Windows sistem kayıt defterindeki makroları etkinleştirme yasağını devre dışı bırakın
• C: Windows dizininde Mumps.drv adlı bir dosya oluşturun ve bu dosyanın makrosunun kodunu yazar. Bu dosya daha sonra tüm açık Word belgelerini etkilemek için kullanılır
• aktif belgeyi aşağıdaki adlar altında sabit sürücüye kaydedin:

 C: WindowsFAQ.doc
 C: Program DosyalarıMicrosoft OfficeOfficeSTARTUPMumps.dot 

• IRC ile yayılmayı başlatır.

IRC ile yayılım

Solucan, script.ini dosyası adlı bir dosyayı değiştirir. Bu, C: WindowsFAQ.doc dosyasının otomatik olarak virüslü bilgisayar tarafından kullanılan kanalın tüm kullanıcılarına gönderileceği anlamına gelir.

Enfeksiyon belirtileri

Kullanıcı HelpAbout menüsünü açmaya çalıştığında, solucan belgenin arka plan rengini koyu maviye dönüştürür. Harfler beyaz olarak görünecektir. Ayrıca aşağıdaki metni görüntüleyen notepad.exe'yi de açın:

 "Windows'un düşük bellek kaynakları var. Lütfen Windows'u yeniden başlatın ....." 

Kullanıcı mevcut belgeyi yazdırmaya çalışırsa ve sistem saati 59 saniye gösteriyorsa, aşağıdaki metinle birlikte bir Mesaj Kutusu görüntülenecektir:

 "Yazıcı sürücünüz Windows ile uyumlu değil. Lütfen başka bir yazıcı sürücüsü yükleyin." 

Kullanıcı Makroların kodunu görüntülemeye veya ToolsMacro menüsünü açmaya çalışırsa, aşağıdaki metinle birlikte bir Mesaj Kutusu görüntülenir:

 "Bu işlevle ilgili bir sorun var ..." 

Diğer

Solucan, sistem kayıt defterinde C: WindowsFAQ.doc dosyasını Microsoft Outlook 5.0 için varsayılan imza olarak kaydetmeye çalışır. Dosya daha sonra tüm giden postalara otomatik olarak eklenecektir.